Vant 组件被投毒了

This topic created in 534 days ago, the information mentioned may be changed or developed.

1 、开发者 token 被盗用了，Vant 组件代码中被攻击者植入恶意代码，当用户安装时会下载并运行挖矿程序
2 、参考： https://github.com/youzan/vant/discussions/13273
3 、受影响版本：
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7

----------

老东家的移动端项目都是用这个，估计他们没啥反应

vant

挖矿

安全

18 replies • 2024-12-20 22:39:18 +08:00

horro

Dec 20, 2024

我们组用了 rsbuild... 不过用的不是 latest 版本，没中招

jimor

Dec 20, 2024

@horro 应该还好废弃动作挺快的，这要是埋伏一段时间再暴雷可能就涉及就多了

Dec 20, 2024

这是咋发现的

flyqie

Dec 20, 2024 via Android

@dfkjgklfdjg #3

感觉像是动作太过迅速触发了第三方安全警报什么的？

看攻击似乎是在快速发版，这很明显不符合常理。

fishlium

Dec 20, 2024

@flyqie 他发版不熟练，之前安装会报错，我就是在报错期间把版本锁了

jimor

Dec 20, 2024

@dfkjgklfdjg 发的包有问题，报错了

flyqie

Dec 20, 2024 via Android

@fishlium #5

感谢分享。

估计他现在正在后悔的直拍大腿吧。

f2A2RUpR2HgfHg5a

Dec 20, 2024

好家伙，看来还是本地构建然后部署到服务器才相对安全，不然这种事情防不胜防。

paopjian

Dec 20, 2024

现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织

kepenj

Dec 20, 2024

https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ，啧啧啧....

jimor

Dec 20, 2024

@kepenj 很经典了

hafuhafu

Dec 20, 2024

发现和处理的还是蛮快的

IamUNICODE

Dec 20, 2024

@kepenj 好家伙

9A0DIP9kgH1O4wjR

Dec 20, 2024

正常也不会安装 latest 版本吧

gaoryrt

Dec 20, 2024

@kepenj ```
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"];

if (!restrictedCountries.includes(countryCode)) {
process.exit(0);
}
```

难评

uzumaki

Dec 20, 2024

@paopjian 开源安全组织也不安全啊

hellodigua

Dec 20, 2024

@gaoryrt 笑晕，判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿，这一整个针对中俄联盟的是吧

realpg

PRO

Dec 20, 2024

@hellodigua #17
符合东 3 区到东 5 区网络攻击者的一贯风格
不过一般他们还愿意加一个伪装
比如
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"];
他们一般会故意写成
const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"];